Embed Size (px)
DESCRIPTION
Esta presentación me llevó a un campo menos familiar: como explicar conceptos de seguridad de la información, ofreciendo al mismo tiempo consejos prácticos y útiles a los profesionales de la traducción.
Citation preview
Seguridad, privacidad y respaldo de la informaciónCarlos Martínez Cagnazzo
carlosm @ cgm-consulting.net
Agenda
Propiedades de la información
Normativa nacional e internacional
Amenazas y defensas
Herramientas y mejores prácticas
El flujo de trabajo y las amenazas presentes
InternetCliente
Traductor
Intruso??
Desastres naturales???
Fallas de hardware??
Propiedades de la informaciónAntes que nada, ¿de que hablamos cuando
hablamos de información?
Documentos, archivos
No solo digitales, pueden ser en papel también
Un archivo es un bien (asset)
Debemos cuidar los nuestros
Cuando alguien nos envía un archivo, implícitamente nos está confiando el cuidado de un bien
La información tiene valor para quienes están en contacto en ella
Propiedades de la informaciónConfidencialidad
La confidencialidad es la propiedad o capacidad por la cual la información no pueda ser vista por personas o sistemas no autorizados
Integridad
La integridad es la propiedad de mantener los datos libres de modificaciones introducidas de manera no autorizada
Disponibilidad
La disponibilidad es la propiedad por la cual los datos están listos para ser accedidos o utilizados cada vez que se los requiera
Clasificación de la informaciónNo todos los datos son iguales
Las normas refieren a la “clasificación” de la información para definir como tratar determinados datos
Pueden variar, pero en general se habla de
“Secreta”
“Confidencial”
“Reservada”
“Pública”
Normativa internacionalExisten normas internacionales que hablan sobre
la gestión de la información
USA
Sarbanes-Oxley: industria financiera
HIPAA: registros médicos
Europa
Leyes de protección de datos personales
Igualmente nos afectan ya que los requisitos de confidencialidad por ejemplo se transfieren a todos quienes procesan la información
¡El traductor, por mas que no viva en la región origen!
Normativa NacionalLey 18.331: Protección de datos personales
http://www.datospersonales.gub.uy
Recomiendo repasar la parte de “Jurisprudencia” y ver los casos donde se ha denunciado robo de información
Ley 18.600: Documento y firma electrónica
“La Ley N°. 18.600 de 21 de setiembre de 2009, sobre "Documento Electrónico y Firma Electrónica” busca establecer medidas que amparen y garanticen la seguridad y confianza de los mismos, ya que éstos sirven de sustento a las transacciones electrónicas que tienen lugar en ámbitos como el Gobierno Electrónico y el Comercio Electrónico.” (Sitio web AGESIC, http://www.agesic.gub.uy)
Estándares
Hay varios estándares que hablan sobre seguridad de la información
BS 7799
http://en.wikipedia.org/wiki/BS_7799
ISO 17999 / ISO 27002
http://en.wikipedia.org/wiki/ISO/IEC_27000-series
ISO 27001
http://en.wikipedia.org/wiki/ISO/IEC_27000-series
Amenazas y defensas
Amenazas a la confidencialidad
Maliciosas
Robo de información
Físico
Robo de una notebook
A través de software malicioso (virus, etc.)
No maliciosas
Mal manejo de información
Dejar un documento sin querer en un restaurant
Amenazas a la confidencialidad
Amenazas a la integridad
Maliciosas
Modificación intencional del contenido de un archivo
Software malicioso
Intercepción de comunicaciones
No maliciosas
Corrupción de archivos debido a fallas de hardware
Rotura de discos duros, pen drives
Amenazas a la disponibilidad
Maliciosas
Destrucción de equipamiento
Borrado de archivos (software malicioso)
No maliciosas
Fallas de hardware
Discos duros, pen drives
Fallas de hardware
Fallas de hardware
Defensas
Confidencialidad
Cifrado (encriptación)
Integridad
Cifrado
Firmas electrónicas
Disponibilidad
Respaldos (copias de seguridad)
Cifrado (encriptación)Cifrado:
“Cualquier técnica que permita enmascarar u ocultar información de tal manera que solamente quienes conocen un cierto secreto pueden hacerla inteligible”
El secreto es la “clave”
Historia muy larga e interesante
Cifrado de César
Máquina Enigma (2da. Guerra Mundial)
Algoritmos modernos (DES / 3DES / AES)
Desafíos para utilizar cifrado
Encontrar herramientas que se adapten a nuestros flujos de trabajo
Cuidado de la(s) clave(s)
Si perdemos u olvidamos la clave es lo mismo que si perdiéramos la información
¿Cómo compartir las claves con otros colaboradores o con clientes?
Copias de seguridad
La defensa contra la corrupción y pérdida de datos está en la redundancia
Múltiples copias
Múltiples medios
Desafíos
Versionado
No sobre escribir las versiones mas nuevas con la copia de seguridad mas antigua
Fallas de hardware
Herramientas
Herramientas
Veremos herramientas para garantizar diferentes aspectos de la seguridad de la información
Foco en herramientas libres
Para todos estos usos existen múltiples alternativas, gratuitas, de código libre y de pago
Nada dice que estas sean las mejores
Confidencialidad
Dos situaciones diferentes:
Confidencialidad en el almacenamiento de la información
Confidencialidad en la transmisión de la información
Herramienta(s):
TrueCrypt
AxCrypt
Confidencialidad en el almacenamiento
Truecrypt
Permite crear “volúmenes”
Son archivos “.tc” que se pueden copiar y que además se comportan como si fueran pendrives
Es decir aparecen como una “letra” en el Explorador de Windows
Se cifra con una clave que puede ser una palabra o una frase
Usando TrueCrypt
Usando TrueCrypt (ii)
Usando TrueCrypt (iii)
Usando TrueCrypt (iv)
Montando el volumen
Usando TrueCrypt (v)
Una vez que el volumen esta montado, lo podemos utilizar como si fuera un pen drive.
El archivo cifrado se puede copiar de un computador a otro
¡Si se pierde, nadie que no conozca la clave puede leerlo!
Copias de seguridad
Para que las copias de seguridad sean efectivas deben
Realizarse con frecuencia regular
Realizarse en diversidad de medios
No sirve copiar lo mismo en dos carpetas del mismo disco duro
Hay que tener extremo cuidado de no sobre-escribir cambios
Copias de seguridad
Herramientas “locales” (copia a pen drives o discos duros externos)
SyncToy
Herramientas “en la nube”
Dropbox
SyncToyHerramienta libre (Microsoft)
http://www.microsoft.com/download/en/details.aspx?id=15155
Objetivo
Mantener sincronizadas dos carpetas
Una puede ser el directorio de proyectos y la otra la carpeta de respaldos en un disco duro externo
Instalacion
Simplemente doble click en el archivo de instalacion
SyncToy (ii)
SyncToy (iii)
SyncToy (iv)
Dropbox Respaldo en la nube: http://dropbox.com
Gratuito hasta 2 GB
Hay que crearse un usuario con una direccion de email cualquiera
Util para respaldo de archivos pequenos y que cambian frecuuentemente
Una vez instalado el software, este mantiene copias de todo el contenido de la carpeta “Dropbox” en la nube
Se puede instalar en todos los PCs que se desee y se sincronizan las copias entre todos ellos
Dropbox (ii)
Dropbox (iii)
Asegurando la integridad
Firma electrónica
La firma electrónica es una “prueba” (en el sentido matemático) que se adjunta a un archivo o documento y permite verificar su integridad
La firma electrónica puede tener validez legal o puede ser un acuerdo entre partes
Firma electronica
Archivo Word no firmado
Archivo Word firmado
FIRMA
Firma electronica (ii)
Para que tenga validez *legal* hace falta un marco legislativo (como la ley 18.600)
Además de una infraestructura que permita verificar las firmas
Para firmar entre partes solo hace falta comprar un certificado digital
En Uruguay se puede hacer con El Correo; o si no se pueden comprar por Internet
¡Muchas gracias!Seguridad, privacidad y respaldo de la información
